Russische Elite-Hacker attackieren Stromversorgung in der Ukraine – Blackout verhindert
Auf Industrieanlagen der ukrainischen Energiewirtschaft ist eine massive Cyberattacke verübt worden. Die unbekannten Täter, die der russischen Elite-Hackergruppe Sandworm zugerechnet werden, haben eine bislang unbekannte Malware namens «Industroyer2» eingesetzt. Dies hat die slowakische IT-Sicherheitsfirma Eset am Dienstag publik gemacht.
Was ist passiert?
Mit «Industroyer2» wurden Umspannwerke in der Ukraine attackiert, wie das renommierte IT-Sicherheitsunternehmen Eset am Dienstag mitteilte. Ziel der Hacker sei «die Stilllegung der Infrastruktur» gewesen. Sprich: Die Angreifer versuchten, die Stromversorgung zu unterbrechen und als Worst-Case-Szenario einen Blackout zu verursachen.
Der Angriff konnte mit vereinten Kräften gerade noch rechtzeitig vereitelt werden, wobei ein staatliches IT-Sicherheitsteam, das Computer Emergency Response Team of Ukraine (CERT-UA), eine zentrale Rolle spielte, wie aus dem Blog-Beitrag von Eset hervorgeht (dazu unten mehr).
Laut BBC-Bericht zielte der Angriff auf eines der grössten Energieversorgungsunternehmen des Landes und es wurde versucht, Umspannwerke abzuschalten, was zu Stromausfällen für zwei Millionen Menschen geführt hätte.
Es ist der bisher schwerste Cyber-Angriff gegen die Ukraine seit der russischen Invasion am 24. Februar.
Das zuständige ukrainische Ministerium sprach Microsoft und Eset in einer Mitteilung «seinen besonderen Dank» aus für die Hilfe «bei der Identifizierung und Neutralisierung der bei dem Angriff verwendeten Schadsoftware».
Wie «Industroyer» 2016
Die Cyberattacke erinnert an einen früheren Angriff aus dem Jahr 2016. Damals gelang es mutmasslich zum russischen Militärgeheimdienst GRU gehörenden Hackern, die ukrainische Stromversorgung mit Schadsoftware lahmzulegen. Die damals entdeckte Malware wurde «Industroyer» getauft, da sie in der Lage war, industrielle Steuerungen zu manipulieren.
Die IT-Sicherheitsexperten schreiben:
Tatsächlich waren seit Anfang 2022 mehrere Angriffswellen mit zerstörerischer Malware auf ukrainische IT-Systeme zu beobachten. Dabei kamen mehrmals sogenannte «Wiper» zum Einsatz, um auf infiltrierten Rechnern Daten zu löschen und Computernetzwerke ausser Betrieb zu setzen.
Der Schaden hielt sich nicht zuletzt dank der mit westlicher Hilfe aufgerüsteten IT-Abwehr der Ukrainer in Grenzen. Das Land gilt als Vorreiter in Sachen Cybersecurity, da es seit Jahren von russischen Hackerangriffen betroffen ist.
Was wissen wir über den Angriff mit «Industroyer2»?
Im Eset-Firmenblog verraten die IT-Sicherheitsfachleute einige Details zu dem kürzlich entdeckten Angriff, wobei die Untersuchungen allerdings noch immer am Laufen sind:
- Die zerstörerischen Aktionen seien für den 8. April 2022 geplant gewesen, aber es gebe Hinweise, dass der Angriff seit mindestens zwei Wochen geplant war.
- Für den Angriff sei eine ICS-fähige Malware verwendet worden. Das Kürzel steht für «Industrial Control System». Das heisst, die Schadsoftware ist in der Lage, ein industrielles Kontrollsystem zu stören, bzw. zu manipulieren.
- Ausserdem wurden im Zuge der Attacke «Wiper» für Windows-, Linux- und Solaris-Betriebssysteme eingesetzt. Dabei handelt es sich um zerstörerische Malware, die auf Befehl der Angreifer versucht, Daten zu löschen. Eset hat ihr den Namen «CaddyWiper» gegeben.
- Zum aktuellen Zeitpunkt wissen die Sicherheitsexperten nicht, wie die Hacker das ursprüngliche Opfer kompromittiert haben und wie sie vom IT-Netzwerk in das «Industrial Control System» (ICS) eindringen konnten.
- Die Infiltration erfolgte offenbar im Februar 2022.
Weiter schreiben die erfahrenen Cybersecurity-Spezialisten, die seit dem russischen Überfall auf die Ukraine mehrere Cyberwaffen, bzw. neue Malware, analysiert haben:
Trotz enormer Anstrengungen zur Sicherung der Energieorganisationen im Land seien die Hacker in der Lage gewesen, ein Privatunternehmen zu kompromittieren. Der Name des betroffenen Unternehmens wird nicht genannt.
Wer steckt dahinter?
Die IT-Sicherheitsspezialisten von Eset schreiben, sie gingen «mit grosser Zuversicht davon aus, dass die APT-Gruppe Sandworm für diesen neuen Angriff verantwortlich ist».
Die IT-Experten von Eset sind höchst zurückhaltend, wenn es um die Zuordnung (Attribution) solcher Attacken geht. Ihre Formulierung lässt darauf schliessen, dass es sich mit grösster Wahrscheinlichkeit um die russischen Elite-Hacker handelt, die als «Sandworm» seit Jahren ihr Unwesen treiben und als besonders versiert gelten in Sachen Cyber-Sabotage.
Dass es sich bei Sandworm um eine aus Russland heraus agierende Gruppe handeln müsse, war schon lange vermutet worden. Aber es dauerte laut Eset bis ins Jahr 2020, bis das US-Justizministerium Sandworm konkret als die Militäreinheit 74455 der Hauptverwaltung für Aufklärung (GRU) des russischen Militärnachrichtendienstes identifizierte.
In der öffentlich einsehbaren Anklageschrift wurden mehrere russische GRU-Hacker namentlich genannt, die für verheerende Cyberangriffe verantwortlich sein sollen.
Die Anklagepunkte reichten vom Industroyer-Angriff auf die ukrainische Energieversorgung 2016, über Cyberangriffe auf die Olympischen Spiele 2018 mit der Malware «Olympic Destroyer», bis zur Verbreitung des NotPetya-Wurms 2017, der weltweit Windows-Computer infizierte, Unternehmen wie die grösste Containerschiff-Reederei Maersk lahmlegte und mehr als 10 Milliarden Dollar Schaden anrichtete.
Sandworm wird auch beschuldigt, Stromausfälle verursacht zu haben, von denen 2015 mehr als 200'000 Haushalte in einer Reihe von Städten in der Ukraine betroffen waren.
Russland bestreitet, hinter den massiven Cyber-Angriffen zu stecken, doch wurden beide Vorfälle von Vertretern der USA und der EU öffentlich Sandworm angelastet.
Was bedeutet das für westliche Staaten?
Staatliche Organisation, nationale Cybersecurity-Teams und ihre Partner aus der Privatwirtschaft sind wegen Russland schon länger in Alarmbereitschaft und rechnen auch selber mit Cyberattacken auf kritische Infrastrukturen.
Der vereitelte Angriff auf die ukrainische Stromversorgung dürfte IT-Verantwortliche nun zusätzlich auf Trab halten. Sicherheitsexperten rund um den Globus suchen derzeit in den eigenen Netzwerken nach verdächtigen Spuren.
Um festzustellen, ob eine ähnliche Bedrohung für andere ukrainische Organisationen besteht, wurden die Informationen mit internationalen Partnern und anderen Unternehmen aus dem ukrainischen Energiesektor geteilt.
Quellen
- welivesecurity.com: Industroyer2: Industroyer reloaded
- bbc.com: Ukrainian power grid 'lucky' to withstand Russian cyber-attack
- cip.gov.ua: Heavy cyberattack on Ukraine’s energy sector prevented
Kuschelbären und böse Pandas
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.
Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.
Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.
Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.
Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.
Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».
Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».
